04.05.2020   |   Blog

Prof. Ulrich Kelber (BfDI) zur Coronakrise: „Datenschutz vereint Gesundheitsschutz und Grundrechtschutz“

von Michael Braun

Mit Blick auf die Coronakrise deutete Kelber an, dass Deutschland digital nicht gut vorbereitet gewesen sei auf eine Krise dieser Dimension. Das mache auch vor der eigenen Behörde nicht Halt: „Die Teilnahme an Videokonferenzen von unserer Behörde aus mit externen Stellen ist schwierig“, sagte er. Denn: Die Behörde arbeitet quasi in einem eigenen Netz, und für die Präsentation bei der digitalen Ausgabe der BvD-Verbandstage musste der Bundesdatenschutzbeauftragte einen alten Laptop nehmen, der nicht mit dem restlichen Netz verbunden war.

Weiteres Thema: Die elektronische Akte an sich sei gut eingeführt worden, aber bei Collaboration Tools in der Bundesbehörde hapere es – über die gemeinsamen Netzlaufwerke sei nichts vorhanden.

„Auch viele Firmen waren auf so eine Pandemie nicht vorbereitet“, sagte er. „Das größte Problem hatten Bildungseinrichtungen, aber das lag nicht am Datenschutz.“ Was konkret heute umgesetzt werde, hänge extrem stark vom Engagement der Lehrer ab. Diese müssten sich allerdings oft selbst rückversichern, was man datenschutzkonform überhaupt durchführen könne. „Da hätte man sich doch gewünscht, dass längst in IT und Datenschutz investiert worden wäre an Schulen und Hochschulen.“ Dass dem nicht so ist, räche sich jetzt.

Noch einmal zurück zu der Frage, was datenschutzrechtlich möglich ist: „Aus meiner Sicht ist es wichtig, dass Datenschutzbehörden nicht alles freigeben, weil man durchaus verlangen kann, dass unter verschiedenen Tools ausgewählt wird. Dazu kommt: Behörden sind Behörden; wir können nicht einfach Programme oder Lösungen empfehlen. Da sind wir auf die Zivilgesellschaft angewiesen und auf Verbände wie den BvD.“ So sei es einfacher, bestimmte Produkte zu empfehlen.

In Sachen IT-Lösungen im Bereich von Collaboration Alternativen zum Markt zu entwickeln, diese auch zu beauftragen und zu beschaffen sei eine Erkenntnis, die man nach der Krise weiter vorantreiben solle, um auf die nächste Krise vorbereitet zu sein, sagte der Datenschutzexperte. Das bräuchte auch extrem positive Seiteneffekte: Prof. Kelber fragte beispielsweise, warum man Dienstreisen auf der Höhe vor Corona halten müsse, wenn man doch jetzt erkenne, dass bestimmte Dinge in Videoschaltungen genauso gut zu besprechen seien. Und gut eingerichtete Bildungsserver würden auch kranken Kindern helfen, am Unterricht teilzunehmen und so weniger zu verlieren; oder auch interessierten Schülern oder Kindern mit Schwächen eine spezifische Förderung zuführen zu können.

„Am Datenschutz mangelt das nicht, es kommt immer auf die Themen an“, sagte er, und nannte als Beispiel Gesundheitsdaten, die nicht unverschlüsselt irgendwo gespeichert werden dürften. Bei öffentlichen Themen wie Vorträgen spiele das eher keine Rolle. 

Wie sieht es aus mit den Daten im Homeoffice? „Homeofficezeit ist Vertrauenszeit, also sollten Führungskräfte nicht jeden Einzelschritt betrachten, sondern schauen, ob die Gesamtleistung stimmt. Eine gute Führungskraft schaut auch auf die individuellen Verhältnisse, gerade in der aktuellen Zeit“, sagte er. Die beste Videokonferenzlösung sei wohl eine selbst betriebene, das sei über Hosting oder Open Source-Angebote heute möglich. „Welche Lösung es sein soll, muss aber auch bezogen auf die Nutzung entschieden werden. Geht es um allgemeine Themen, kann es sicher eine andere Lösung sein als für den Fall, dass geheime oder personenbezogene Themen besprochen werden.“ Auch er sehe das Performance-Problem gerade bei vielen Teilnehmern, wenn man im Prinzip eine End-to-End-Verschlüsselung bei allen Teilnehmern gewährleisten müsste.

Ein wichtiges Stichwort war noch die vieldiskutierte Corona-App: Nach der intensiven Diskussion um die Rolle des Datenschutzes erklärte der Bundesdatenschutzbeauftragte, dass man nicht weniger Digitalisierung wolle, sondern eine bessere. „Auch in der Krise muss der Datenschutz grundrechtskonform sein.“ Datenerhebungen bei einer möglichen Corona-App, die Ungenauigkeiten durch die Erfassung über Mobilfunkzellen mit sich bringen würde, habe man entsprechend kritisiert: „So etwas erzielt keinen Effekt, hätte aber personenbezogenen Daten erfasst und vorratsdatenmäßig gespeichert.“

Er fördere eindeutig den „Privacy by design“-Gedanken: Man müsse zu Anfang nachdenken, welches Ziel man verfolge und wie  man das erreichen könne unter Wahrung von Grundrechten. Er zähle nicht der umgekehrte Weg, bei dem erst geschaut werde, welche Technologie einem einfällt und wo man sich nach der Entscheidung dann beschwere, wenn diese nicht datenschutzkonform ist.

Ein Dorn im Auge ist dem Bundesdatenschutzbeauftragten eine mögliche Verpflichtung zur Installation einer Tracing-App. „Da frage ich mich, warum an so einer Stelle nicht nachgedacht wird. Wie soll in einem Rechtsstaat geprüft werden, ob jemand die App installiert hat. Und wie würde es im Alltag aussehen? Muss man das Telefon immer dabeihaben? Was passiert, wenn ich Bluetooth einfach ausschalte? Muss ich, wenn ich zwei Telefone nutze, die App auf beiden Geräten installieren? Wir müssen die Grundrechte durchsetzen und vorher nachdenken, was eine Gesellschaft erreichen will“, sagte er, und fügte an: „Der Datenschutz ist nicht in der Krise, sondern einer der Bausteine auf dem Weg aus der Krise.“

Dazu gehöre für ihn ein klares Bekenntnis, wofür die zu erfassenden Daten sind, so dass keine Zweckumwidmung möglich ist. Zudem sei eine klare Protokollierung des Zugriffs notwendig. „Die mildeste Form einer solchen App ist unser Favorit, und dazu gehört auch die dezentrale Lösung. Hier lobte der Bundesdatenschutzbeauftragte die Bundesregierung, dass sie nach der stärker werdenden Kritik an einer zentralen Lösung umgeschwenkt sei. Sehr gut sei auch, dass die Bundesregierung auf Freiwilligkeit setze.

Der Datenschutz behalte auch in der Krise seine wichtige Rolle: „Rechtsgrundlage, Transparenz, Zweckgebundenheit und technisch-organisatorische Maßnahmen - das sind die Grundprinzipien des Datenschutzes. Datenschutz verhindert nicht Gesundheitsschutz, sondern Datenschutz vereint Gesundheitsschutz und Grundrechtschutz.“